Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De DoD Zero Trust-strategie en -roadmap schetst een pad voor Department of Defense Components and Defense Industrial Base -partners om een nieuw cyberbeveiligingsframework te implementeren op basis van Zero Trust-principes. Zero Trust elimineert traditionele perimeters en vertrouwensveronderstellingen, waardoor een efficiëntere architectuur mogelijk is die de beveiliging, gebruikerservaringen en missieprestaties verbetert.
Deze handleiding bevat aanbevelingen voor de 152 Zero Trust-activiteiten in de DoD Zero Trust Capability Execution Roadmap. De secties komen overeen met de zeven pijlers van het DoD Zero Trust-model.
Gebruik de volgende koppelingen om naar secties van de handleiding te gaan.
- Introductie
- Gebruiker
- Apparaat
- Toepassingen en workloads
- Gegevens
- Netwerk
- Automatisering en indeling
- Zichtbaarheid en analyse
4 Gegevens
In deze sectie vindt u richtlijnen en aanbevelingen van Microsoft voor DoD Zero Trust-activiteiten in de gegevenspijler. Zie Gegevens beveiligen met Zero Trust voor meer informatie.
4.1 Risico-uitlijning van gegevenscatalogus
Microsoft Purview-oplossingen helpen bij het detecteren, identificeren, beheren, beveiligen en beheren van gegevens waar deze zich bevinden. Microsoft Purview biedt drie om items te identificeren, zodat ze kunnen worden geclassificeerd. Items kunnen handmatig worden geclassificeerd door gebruikers, via geautomatiseerde patroonherkenning, net als bij typen gevoelige informatie en via machine learning.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target
4.1.1 GegevensanalyseDoD-organisaties werken de service- en toepassingscatalogus(s) bij met gegevensclassificaties. Gegevenstags worden ook toegevoegd aan elke service en toepassing. Resultaat: - De servicecatalogus wordt bijgewerkt met gegevenstypen voor elke toepassing en service op basis van gegevensclassificatieniveaus |
Microsoft Purview Bekijk gevoelige informatietypen in Microsoft Purview-nalevingsportal en definieer aangepaste typen gevoelige informatie. - Aangepaste typen gevoelige informatie in de Purview-complianceportal Gebruik Purview-inhoudsverkenner of activiteitenverkenner om een momentopname van gelabelde Microsoft 365-inhoud weer te geven en gekoppelde gebruikersactiviteiten weer te geven. - Activiteitenverkenner van Inhoudsverkenner - Microsoft Defender voor Cloud Apps integreren Microsoft Purview Informatiebeveiliging om vertrouwelijkheidslabels toe te passen op gegevens die overeenkomen met beleid. Onderzoek mogelijke blootstelling aan gevoelige gegevens in cloudtoepassingen. - Integreer Information Protection Browse de Purview-gegevenscatalogus om de gegevens in uw gegevensomgeving te verkennen. - Purview-gegevenscatalogus |
4.2 DoD Enterprise Data Governance
Microsoft Purview Informatiebeveiliging maakt gebruik van vertrouwelijkheidslabels. U kunt vertrouwelijkheidslabels maken die relevant zijn voor uw organisatie, bepalen welke labels zichtbaar zijn voor gebruikers en het labelbereik definiëren. Bereiklabels voor bestanden, e-mailberichten, vergaderingen, Microsoft Teams, SharePoint-sites en meer. Labels beveiligen inhoud met versleuteling, beperk extern delen en voorkom gegevensverlies.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target
4.2.1 Standaarden voor gegevenstagsdefiniërenDoD Enterprise werkt samen met organisaties om standaarden voor gegevenstags en classificatie vast te stellen op basis van aanbevolen procedures voor de branche. Classificaties worden overeengekomen en geïmplementeerd in processen. Tags worden geïdentificeerd als handmatig en geautomatiseerd voor toekomstige activiteiten. Resultaten: - Standaarden voor gegevensclassificatie en taggen van ondernemingen zijn ontwikkeld - Organisaties zijn afgestemd op bedrijfsstandaarden en beginnen met de implementatie |
Microsoft Purview Vertrouwelijkheidslabels maken en publiceren in Microsoft Purview, volgens standaarden voor gegevenstags die u definieert. - Vertrouwelijkheidslabels en beleidsregels - Vertrouwelijkheidslabels in Microsoft 365 |
Target
4.2.2 InteroperabiliteitsstandaardenDe DoD Enterprise-samenwerking met de organisaties ontwikkelt interoperabiliteitsstandaarden voor het integreren van verplichte Drm-oplossingen (Data Rights Management) en Beveiliging met de benodigde technologieën om ZT-doelfunctionaliteit mogelijk te maken. Resultaat: - Er zijn formele standaarden door de onderneming ingesteld voor de juiste gegevensstandaarden |
Azure Rights Managementgebruikt Azure RMS voor de interoperabiliteit van data rights management (DRM) en beveiliging tussen DoD-entiteiten die samenwerken met Microsoft 365-services. - Azure RMS-apps die vertrouwelijkheidslabels - ondersteunen |
Target
4.2.3 SdS-beleid(Software Defined Storage) ontwikkelenDe DoD Enterprise die met organisaties werkt, brengt een SDS-beleid (Software Define Storage) en -standaarden tot stand op basis van aanbevolen procedures voor de branche. DoD-organisaties evalueren de huidige strategie en technologie voor gegevensopslag voor de implementatie van SDS. Waar de juiste opslagtechnologie wordt geïdentificeerd voor SDS-implementatie. Resultaten: - Bepaal de noodzaak voor implementatie van SDS-hulpprogramma's- Beleid voor SDS wordt gemaakt op ondernemingsniveau en organisatieniveau |
SharePoint Online SharePoint Online gebruiken en OneDrive voor Bedrijven als een standaardoplossing voor softwareontwerpopslag (SDS). Beperk de toegang tot gevoelige SharePoint Online-sites en -inhoud met beleid voor sitetoegangsbeperkingen. Voorkom gasttoegang tot bestanden terwijl DLP-regels (Preventie van gegevensverlies) worden toegepast. - Beperk sitetoegang tot groepsleden - Voorkom gasttoegang tot bestanden met DLP-regels - Veilig delen Gebruik Defender voor Cloud Apps om de toegang tot niet-geautoriseerde cloudopslagservices te blokkeren. - Gedetecteerde apps beheren |
4.3 Gegevenslabels en -tags
Microsoft Purview Informatiebeveiliging gegevens automatisch classificeert op basis van typen gevoelige informatie die u definieert. Beleid voor labeling aan de service- en clientzijde zorgt ervoor dat Microsoft 365-inhoud die door uw gebruikers is gemaakt, is gelabeld en beveiligd.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target
4.3.1 Implementeer hulpprogramma'svoor gegevenstags en classificatieDoD-organisaties maken gebruik van de bedrijfsstandaard en -vereisten voor het implementeren van gegevenstags en classificatie-oplossingen. Organisaties zorgen ervoor dat toekomstige ML- en AI-integraties worden ondersteund door oplossingen via DoD Enterprise-vereisten. Resultaten: - Een vereiste van hulpprogramma's voor gegevensclassificatie en taggen moet integratie en/of ondersteuning van Machine Learning (ML) - Hulpprogramma's voor gegevensclassificatie en taggen zijn geïmplementeerd op organisatie- en ondernemingsniveau |
Microsoft Purview Informatiebeveiliging Gebruik Microsoft Purview Informatiebeveiliging om gegevens te classificeren op basis van typen gevoelige informatie en classificaties die zijn getraind door machine learning (ML). - Beleid voor gevoelige gegevens en Purview-labels - |
Target
4.3.2 Handmatige gegevens taggen Pt1Met behulp van het DoD Enterprise-beleid voor gegevens taggen en classificatiebeleid en -standaarden, wordt handmatig taggen gestart met het gebruik van basiskenmerken op gegevensniveau om te voldoen aan de ZT-doelfunctionaliteit. Resultaat: - Handmatige gegevenstags beginnen op ondernemingsniveau met basiskenmerken |
Microsoft Purview Vertrouwelijkheidslabels maken en publiceren in Microsoft Purview, volgens standaarden voor gegevenstags die u definieert. Zie de Richtlijnen van Microsoft in 4.2.1. Configureer een labelbeleid om te vereisen dat gebruikers vertrouwelijkheidslabels toepassen op e-mailberichten en documenten. - Gebruikers passen labels toe op e-mail en documenten |
Advanced
4.3.3 Handmatige gegevens taggen pt2DoD organisatiespecifieke kenmerken op gegevensniveau worden geïntegreerd in het handmatige gegevenstagproces. DoD Enterprise en organisaties werken samen om te bepalen welke kenmerken nodig zijn om te voldoen aan de geavanceerde ZTA-functionaliteit. Kenmerken op gegevensniveau voor geavanceerde ZTA-functionaliteit worden gestandaardiseerd in de hele onderneming en opgenomen. Resultaat: - Handmatige gegevenstags worden uitgebreid naar het programma-/organisatieniveau met specifieke kenmerken |
Microsoft Purview Bekijk de typen gevoelige informatie in de Microsoft Purview-nalevingsportal. Definieer zo nodig aangepaste typen gevoelige informatie. Zie de Richtlijnen van Microsoft in 4.1.1. |
Advanced
4.3.4 Geautomatiseerde gegevenstags en ondersteuning voor Pt1DoD-organisaties gebruiken oplossingen voor preventie van gegevensverlies, rechtenbeheer en/of bescherming om gegevensopslagplaatsen te scannen. Gestandaardiseerde tags worden toegepast op ondersteunde gegevensopslagplaatsen en gegevenstypen. Niet-ondersteunde gegevensopslagplaatsen en -typen worden geïdentificeerd. Resultaat: - Basisautomatisering begint met het scannen van gegevensopslagplaatsen en het toepassen van tags |
Microsoft Purview Informatiebeveiliging Labelen aan de clientzijde configureren voor bestanden en e-mailberichten die zijn gemaakt in Microsoft Office-app lications. - Automatisch labelen voor Office-app s Labelen aan de servicezijde configureren voor inhoud die is opgeslagen in Office 365. - Beleid voor automatisch labelen voor SharePoint, OneDrive en Exchange Vertrouwelijkheidslabels toepassen op containers: Microsoft Teams-sites, Microsoft 365 Groepen en SharePoint-sites. - Vertrouwelijkheidslabels voor Teams-, Microsoft 365-, groepen- en SharePoint-sites Om documenten en e-mailberichten in uw omgeving te vinden, scant u deze op gegevenskoppelingswaarden in gedefinieerde typen gevoelige informatie. - Gevoelige informatietypen die overeenkomen met gegevens, gebruiken documentvingerafdruk om inhoud te zoeken en labelen die overeenkomt met documentsjablonen en standaardformulieren. - Documentvingervingergegevensbronnen van Microsoft Purview- Gegevensbronnen in Purview - Scans en opnamegegevensclassificatie - integreren Purview Information Protection met Defender voor Cloud Apps om vertrouwelijkheidslabels automatisch toe te passen, versleutelingsbeleid af te dwingen en gegevensverlies te voorkomen. - Information Protection - integrerenDLP-inhoudsinspectie toepassen op vertrouwelijkheidslabels - |
Advanced
4.3.5 Geautomatiseerde gegevenstags en ondersteuning voor Pt2De resterende ondersteunde gegevensopslagplaatsen hebben basis- en uitgebreide gegevenstags die worden toegepast met behulp van machine learning en kunstmatige intelligentie. Uitgebreide gegevenstags worden toegepast op bestaande opslagplaatsen. Niet-ondersteunde gegevensopslagplaatsen en gegevenstypen worden geëvalueerd voor buiten gebruik stellen met behulp van een methode op basis van risico's. Goedgekeurde uitzonderingen maken gebruik van handmatige methoden voor gegevenstags met gegevenseigenaren en/of beheerders voor het beheren van tags. Resultaten: - Volledige automatisering van gegevenstags is voltooid - Resultaten van gegevenstags worden ingevoerd in ML-algoritmen. |
Microsoft Purview Informatiebeveiliging Trainingsclassificaties in Purview helpen u bij het herkennen van inhoud met behulp van machine learning (ML). Classificaties maken en trainen met door mensen gekozen en positief overeenkomende steekproeven. - Trainbare classificaties |
4.4 Gegevensbewaking en -detectie
Microsoft Purview-preventie van gegevensverlies beleid (DLP) voorkomt dat gegevens uw organisatie verlaten. U kunt DLP-beleid toepassen op data-at-rest, in gebruik en in beweging. DLP-beleid wordt afgedwongen waar gegevens zich bevinden in cloudservices, on-premises bestandsshares, ook op Windows- en macOS-apparaten.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target
4.4.1 Logboekregistratie en analysevan DLP-afdwingingspuntenDoD-organisaties identificeren DLP-afdwingingspunten (preventie van gegevensverlies), zoals specifieke services en gebruikerseindpunten. DoD-organisaties zorgen ervoor dat de juiste details van de gegevens worden vastgelegd met behulp van de vastgestelde standaard voor het reageren op cyberbeveiligingsincidenten van DoD Enterprise. Daarnaast worden gebruiksscenario's voor beveiliging, detectie en respons ontwikkeld om de dekking van oplossingen beter te beschrijven. Resultaten: - Afdwingingspunten worden geïdentificeerd : gestandaardiseerd logboekregistratieschema wordt afgedwongen op bedrijfsniveau en organisatieniveau |
Microsoft Purview-preventie van gegevensverlies DLP-beleid maken in Purview-naleving. Dwing DLP af voor Microsoft 365-toepassingen, Windows- en macOS-eindpunten, ook niet-Microsoft-cloud-apps. - Plan voor DLP Design DLP-beleid - - Auditlogboekactiviteiten - Office 365 Management Activity API-schema Microsoft Defender voor Cloud Apps Integreren Purview Information Protection met Defender voor Cloud Apps om vertrouwelijkheidslabels automatisch toe te passen, versleutelingsbeleid af te dwingen en gegevensverlies te voorkomen. Zie de Richtlijnen van Microsoft in 4.3.4. |
Target
4.4.2 Logboekregistratie en analysevan DRM-afdwingingspuntenDoD-organisaties identificeren drm-afdwingingspunten (Data Rights Management), zoals specifieke services en gebruikerseindpunten. DoD-organisaties zorgen ervoor dat de juiste details van de gegevens worden vastgelegd met behulp van de vastgestelde standaard voor het reageren op cyberbeveiligingsincidenten van DoD Enterprise. Daarnaast worden gebruiksscenario's voor beveiliging, detectie en respons ontwikkeld om de dekking van oplossingen beter te beschrijven. Resultaten: - Afdwingingspunten worden geïdentificeerd : gestandaardiseerd logboekregistratieschema wordt afgedwongen op bedrijfsniveau en organisatieniveau |
Microsoft Purview Informatiebeveiliging Purview data rights management (DRM) afdwingingspunten omvatten Microsoft 365 en toepassingen en services van derden die zijn geïntegreerd met de Microsoft Information Protection-SDK (MIP), online-apps en uitgebreide clients. - Gevoelige gegevens beveiligen - : toegang tot inhoud beperken met vertrouwelijkheidslabels - MIP SDK-versleuteling- in Microsoft 365 Microsoft Defender voor Cloud-apps integreren Purview Information Protection met Defender voor Cloud Apps om vertrouwelijkheidslabels automatisch toe te passen, versleutelingsbeleid af te dwingen en gegevensverlies te voorkomen. Zie de Richtlijnen van Microsoft in 4.3.4. |
Target
4.4.3 Bestandsactiviteit bewaking pt1DoD-organisaties maken gebruik van hulpprogramma's voor bestandsbewaking om de meest kritieke gegevensclassificatieniveaus in toepassingen, services en opslagplaatsen te bewaken. Analyses van bewaking worden ingevoerd in de SIEM met basisgegevenskenmerken om ZT-doelfunctionaliteit te bereiken. Resultaten: - Gegevens en bestanden van kritieke classificatie worden actief bewaakt - Basisintegratie wordt uitgevoerd met bewakingssysteem zoals de SIEM |
Microsoft Purview-preventie van gegevensverlies DLP-waarschuwingen worden weergegeven in Microsoft Defender XDR. Bestandsactiviteit over het maken, labelen, afdrukken en delen bevindt zich in het geïntegreerde auditlogboek en in activiteitenverkenner in de Microsoft Purview-nalevingsportal. - DLP-waarschuwingen - Integreren Microsoft Defender XDR met Sentinel om DLP-waarschuwingen (Preventie van gegevensverlies) te bekijken en te onderzoeken in een SIEM-systeem (Security Incident and Event Management) voor ondernemingen. - Integratie van SIEM-hulpprogramma's Information Protection-connector voor Sentinel- |
Target
4.4.4 Bestandsactiviteit bewaking pt2DoD-organisaties maken gebruik van hulpprogramma's voor bestandsbewaking voor het bewaken van alle met regelgeving beveiligde gegevens (bijvoorbeeld CUI, PII, PHI, enzovoort) in toepassingen, services en opslagplaatsen. Uitgebreide integratie wordt gebruikt om gegevens te verzenden naar de juiste inter-/intrapijleroplossingen, zoals Preventie van gegevensverlies, Data Rights Management/Protection en Analyse van gedrag van gebruikers en entiteiten. Resultaten: - Gegevens en bestanden van alle gereguleerde classificaties worden actief bewaakt - Uitgebreide integraties zijn in het geval van toepassing om risico's verder te beheren |
Microsoft Sentinel Bepaal de benodigde vertrouwelijkheidslabels en configureer aangepaste Sentinel-analyseregels. Maak een incident wanneer DLP-waarschuwingen activeren voor kritieke bestandsevenementen. Kritieke bestandsevenementen omvatten detectie van gevoelige informatie, beleidsschendingen en andere verdachte activiteiten. - Aangepaste analyseregels voor het detecteren van bedreigingsreacties - met playbooks |
Advanced
4.4.5 Database activity MonitoringDoD-organisaties kopen, implementeren en gebruiken Database Monitor-oplossingen om alle databases met gereguleerde gegevenstypen te bewaken (CUI, PII, PHI, enzovoort). Logboeken en analyses van de databasebewakingsoplossing worden doorgegeven aan de SIEM voor bewaking en reactie. Analyses worden ingevoerd in activiteiten op meerdere pijlers, zoals 'Enterprise Security Profile' en 'Real Time Access', om betere directe besluitvorming mogelijk te maken. Resultaten: - De juiste database wordt actief bewaakt - Bewakingstechnologie is geïntegreerd met oplossingen zoals SIEM, PDP en mechanismen voor dynamisch toegangsbeheer |
Microsoft Defender voor SQLDefender voor SQL beveiligt databases in Azure en andere clouds. - Defender for SQL Connect Microsoft Defender voor Cloud en Microsoft Defender XDR-gegevensconnectors voor Sentinel. - Verbonden Defender voor Cloud waarschuwingen voor Sentinel - Connect Defender XDR met voorwaardelijke toegang vereisen verificatiecontext voor gevoelige SharePoint-sites en het beveiligen van azure SQL-databaseaanmelding met behulp van voorwaardelijke toegang. - Voorwaardelijke toegang voor verificatielabels met verificatiecontext - - met Azure SQL Database en Azure Synapse Analytics |
Advanced
4.4.6 Uitgebreide bewakingvan gegevensactiviteitenDoD-organisaties breiden de bewaking van gegevensopslagplaatsen, inclusief databases, naar wens uit op basis van een methodische risicobenadering. Aanvullende gegevenskenmerken om te voldoen aan de ZT Advanced-functies worden geïntegreerd in de analyse voor aanvullende integraties. Resultaten: - Bewakingsmechanismen voor gegevensactiviteiten zijn geïntegreerd om een uniforme weergave van bewaking in gegevensopslagplaatsen te bieden. De juiste integraties bestaan met oplossingen zoals SIEM en PDP |
Microsoft Graph APIGebruik Microsoft Graph-activiteitenlogboeken voor een audittrail met aanvragen die zijn ontvangen door de Microsoft Graph-service en verwerkt door de tenant. - Activiteitenlogboeken Purview-gegevenstoewijzing configureren om te scannen op gevoelige bestanden in de gegevensomgeving van de organisatie. - Beheer gegevensbronnen Om te integreren met een SIEM-systeem (Security Information and Event Management), configureert u Sentinel-gegevensconnectors voor Microsoft Defender voor Cloud, Microsoft Defender XDR en Purview. Zie de Richtlijnen van Microsoft in 4.4.5. Detectie van voorwaardelijke toegang voor ongebruikelijke bestandstoegang, gevonden door Microsoft Defender XDR, verhoogt het risiconiveau van de gebruiker. Gebruikersrisico is een voorwaarde in voorwaardelijke toegang, het beleidsbeslissingspunt (PDP) voor Microsoft Entra-id. Definieer een verificatiecontext voor voorwaardelijke toegang met de voorwaarde voor gebruikersrisico's zonder risico. Gelabelde SharePoint-sites beveiligen; verificatiecontext voor voorwaardelijke toegang vereisen. - Voorbeeld van risicodetectie - ongebruikelijke verificatiecontext voor bestandstoegang - |
4.5 Gegevensversleuteling en rechtenbeheer
Microsoft 365-services versleutelen data-at-rest en in transit. Microsoft Purview beperkt de toegang tot inhoud volgens het versleutelingsbeleid voor vertrouwelijkheidslabels. Purview bereikt het doel met een andere versleutelingslaag voor e-mail en bestanden.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target
4.5.1 DRM- en beveiligingshulpprogramma's implementeren Pt1DoD-organisaties kopen en implementeren DRM- en beveiligingsoplossing(en) indien nodig volgens de DoD Enterprise-standaard en -vereisten. Nieuw geïmplementeerde DRM- en beveiligingsoplossing(en) worden geïmplementeerd met opslagplaatsen met een hoog risico met behulp van ZTA-beveiliging op doelniveau. Resultaat: - DRM en beveiligingshulpprogramma's zijn ingeschakeld voor gegevensopslagplaatsen met een hoog risico met basisbeveiligingen |
Microsoft 365-versleuteling Microsoft 365 heeft basislijnversleuteling op volumeniveau met de Windows-beveiligingsfunctie BitLocker en DKM (Distributed Key Manager). - Informatie over versleuteling Gebruik labelbeleid om automatisch meer versleuteling toe te passen voor gegevens met een hoog risico in Microsoft 365, op basis van vertrouwelijkheidslabel. - Apps om vertrouwelijkheidslabels automatisch toe te passen, versleutelingsbeleid af te dwingen en gegevensverlies te voorkomen. Zie de Richtlijnen van Microsoft in 4.3.4. Azure PolicyGebruik Azure Policy om een tls-versie (Secure Transport Layer Security) te vereisen, TDE (Transparent Data Encryption) te implementeren en deze te vereisen met door de klant beheerde sleutels om data-at-rest te versleutelen. - Azure Policy-definities voor Azure SQL-database en SQL Managed Instance |
Target
4.5.2 DRM- en beveiligingshulpprogramma's implementeren Pt2DRM- en beveiligingsdekking wordt uitgebreid om alles in gegevensopslagplaatsen binnen het bereik te behandelen. Versleutelingssleutels worden automatisch beheerd om te voldoen aan best practices (bijvoorbeeld FIPS). Uitgebreide kenmerken voor gegevensbeveiliging worden geïmplementeerd op basis van de omgevingsclassificatie. Resultaat: - DRM en beveiligingshulpprogramma's zijn ingeschakeld voor alle mogelijke opslagplaatsen |
Azure Key Vault: Azure Key VaultManaged Hardware Security Module (Azure Key Vault HSM) gebruiken om cryptografische toepassingssleutels te beveiligen met fips 140-2 gevalideerde hardwarebeveiligingsmodules op niveau 3. - Azure Key Vault Managed HSM Microsoft 365 biedt een laag versleuteling voor uw inhoud met Klantsleutel. - Azure Information Protection-tenantsleutel voor serviceversleuteling Azure Information Protection ondersteunt door Microsoft gegenereerde hoofdsleutels voor tenants en BYOK (Bring Your Own Key). - Tenantsleutel - Double Key Encryption - BYOK |
Target
4.5.3 DRM-afdwinging via gegevenstags en analyse pt1Drm-oplossingen (Data Rights Management) en beveiligingsoplossingen zijn geïntegreerd met basisgegevenstags die zijn gedefinieerd door de DoD Enterprise-standaard. Initiële gegevensopslagplaatsen worden bewaakt en beveiliging en reactieacties ingeschakeld. Data-at-rest wordt versleuteld in opslagplaatsen. Resultaten: - Gegevenstags zijn geïntegreerd met DRM en bewaakte opslagplaatsen worden uitgebreid - Op basis van gegevenstags worden gegevens in rust versleuteld |
Microsoft Purview Informatiebeveiliging Labelbeleid gebruiken om automatisch meer versleuteling toe te passen voor gegevens met een hoog risico, in Microsoft 365, op basis van vertrouwelijkheidslabel. - Zie de richtlijnen van Microsoft in 4.5.1. |
Advanced
4.5.4 DRM-afdwinging via gegevenstags en analyse pt2Uitgebreide gegevensopslagplaatsen worden beveiligd met DRM- en beveiligingsoplossingen. DoD-organisaties implementeren uitgebreide gegevenstags die van toepassing zijn op organisaties versus gemandeerde ondernemingen. Gegevens worden versleuteld in uitgebreide opslagplaatsen met behulp van extra tags. Resultaten: - Alle toepasselijke gegevensopslagplaatsen worden beveiligd met DRM - Gegevens worden versleuteld met behulp van uitgebreide gegevenstags van de organisatieniveaus |
Azure-versleuteling azure maakt gebruik van versleuteling voor data-at-rest en in transit. - Azure-versleuteling Azure Policy Azure Policy Voorwaardelijke toegang maakt gebruik van beleid voor voorwaardelijke toegang voor gebruikers die verbinding maken met Azure SQL. Zie de Richtlijnen van Microsoft in 4.4.5. |
Advanced
4.5.5 DRM-afdwinging via gegevenstags en analyse pt3DRM- en beveiligingsoplossingen kunnen worden geïntegreerd met AI- en ML-hulpprogramma's voor versleuteling, rechtenbeheer en beveiligingsfuncties. Resultaten: - Analyse van ML/AI is geïntegreerd met DRM om beveiligingen beter te automatiseren . Versleutelingsbeveiliging is geïntegreerd met AI/ML en bijgewerkte versleutelingsmethoden worden indien nodig gebruikt |
Microsoft Purview Informatiebeveiliging Gebruik Microsoft Purview Informatiebeveiliging voor het classificeren van gegevens, op basis van typen gevoelige informatie en door classificaties die zijn getraind door machine learning (ML). Zie de Richtlijnen van Microsoft in 4.3.5. Azure MachineLearning Azure Machine Learning en Azure OpenAI Service maken gebruik van de Azure Storage- en Azure Compute-services waarmee gegevens worden versleuteld. Verificatiecontext vereisen voor gelabelde SharePoint-sites en aangepaste toepassingen. - Verificatiecontext Zie Microsoft-richtlijnen in 4.4.5. |
4.6 Preventie van gegevensverlies (DLP)
Microsoft Purview-preventie van gegevensverlies beleid (DLP) voorkomt dat gegevens uw organisatie verlaten. U kunt DLP-beleid toepassen op data-at-rest, in gebruik en in beweging. DLP-beleid wordt afgedwongen waar gegevens zich bevinden in cloudservices, on-premises bestandsshares, ook op Windows- en macOS-apparaten.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target
4.6.1 AfdwingingspuntenimplementerenDe oplossing voor preventie van gegevensverlies (DLP) wordt geïmplementeerd op de afdwingingspunten binnen het bereik. De DLP-oplossing is ingesteld op 'alleen-bewaken' en/of 'learning'-modus, waardoor de impact wordt beperkt. De resultaten van de DLP-oplossing worden geanalyseerd en het beleid is afgestemd op het beheren van risico's op een acceptabel niveau. Resultaat: - Geïdentificeerde afdwingingspunten hebben DLP-hulpprogramma geïmplementeerd en ingesteld op de bewakingsmodus met gestandaardiseerde logboekregistratie |
Microsoft Purview-preventie van gegevensverlies Microsoft 365-toepassingen en Windows-eindpunten dwingt DLP-beleid af. Beleidsregels configureren in de DLP-simulatiemodus. - Plan voor DLP DLP-simulatiemodus Beleidsregels maken in DLP. Stel de beleidsstatus in om beleidstips te testen of te testen. Stel beleidsacties in op Alleen controleren of Blokkeren met onderdrukking. - DLP-beleidsimplementatie onboarden voor Windows 10-, 11- en macOS-apparaten voor preventie van gegevensverlies (Eindpunt-DLP)- Deploy Microsoft Purview Informatiebeveiliging scanner. Label en dwing DLP-beleid af voor inhoud in on-premises SQL-databases, bestandsshares, nas (Network Attached Storage) en SharePoint Server-documentbibliotheken. - DLP on-premises opslagplaatsen - Information Protection-scanner Microsoft Purview-preventie van gegevensverlies Integrate Microsoft Purview Informatiebeveiliging met Defender voor Cloud Apps om vertrouwelijkheidslabels automatisch toe te passen, versleutelingsbeleid af te dwingen en gegevensverlies te voorkomen. Zie de Richtlijnen van Microsoft in 4.3.4. Toegangsbeheer voor voorwaardelijke toegang tot Office 365 en andere met Microsoft Entra geïntegreerde toepassingen. Gebruik de modus Alleen-rapporten om het resultaat te controleren voordat u beleidsregels inschakelt met toegangsbeheer blokkeren. - Alleen sessiebeleidsregels- : alle bewaken |
Target
4.6.2 DLP-afdwinging via gegevenstags en analyse pt1De oplossing voor preventie van gegevensverlies (DLP) wordt bijgewerkt van alleen de monitormodus naar de preventiemodus. Basisgegevenstags worden gebruikt voor de DLP-oplossing en het logboekregistratieschema is geïntegreerd. Resultaat: - Afdwingingspunten die moeten worden ingesteld om de modus voor het integreren van het logboekschema en handmatige classificatie van tags te voorkomen. |
Microsoft Purview-preventie van gegevensverlies DLP-beleid maken in de testmodus. Wijzig de status in Aan om de afdwingingsmodus in te schakelen. Als u beleidsacties instelt op Blokkeren, wordt gebruikersactiviteit die DLP activeert, voorkomen door het beleid. - Acties in DLP-beleid: Just-In-Time-beveiliging (JIT) inschakelen om Eindpunt-DLP af te dwingen voor bestanden die zijn gemaakt op offlineapparaten. - Offlineapparaten : inhoudsinspectie inschakelen in Defender voor Cloud Apps. - Voorwaardelijke toegangvoor DLP-inhoudsinspectie na het testen, beleid voor voorwaardelijke toegang inschakelen waarmee sessiebesturingselementen worden toegepast of toegangsbeheer blokkeren. Sluit accounts voor toegang tot noodgevallen uit om tenantvergrendeling te voorkomen. - Accounts voor toegang tot noodgevallen zie Microsoft-richtlijnen in 4.6.1. |
Advanced
4.6.3 DLP-afdwinging via gegevenstags en analyse pt2De oplossing voor preventie van gegevensverlies (DLP) wordt bijgewerkt met uitgebreide gegevenstags op basis van parallelle Automatiseringsactiviteiten. Resultaat: - Afdwingingspunten hebben uitgebreide kenmerken van gegevenstags toegepast op aanvullende preventie |
Microsoft Purview Informatiebeveiliging Aangepaste typen gevoelige informatie definiëren. Maak labels en beleid voor preventie van gegevensverlies. Zie de Richtlijnen van Microsoft in 4.1.1. |
Advanced
4.6.4 DLP-afdwinging via gegevenstags en analyse pt3De oplossing voor preventie van gegevensverlies (DLP) is geïntegreerd met geautomatiseerde technieken voor gegevenstags om ontbrekende afdwingingspunten en tags op te nemen. Resultaat: - Geautomatiseerde tagkenmerken zijn geïntegreerd met DLP en resulterende metrische gegevens worden gebruikt voor ML |
Microsoft Purview Informatiebeveiliging Gebruik Microsoft Purview Informatiebeveiliging om gegevens te classificeren, op basis van typen gevoelige informatie en door classificaties die zijn getraind door machine learning (ML). Zie de Richtlijnen van Microsoft in 4.3.5. |
4.7 Toegangsbeheer voor gegevens
Microsoft 365- en Azure Storage-services zijn geïntegreerd met Microsoft Entra ID voor autorisatie op basis van identiteiten. Microsoft Entra ID ondersteunt op rollen gebaseerd toegangsbeheer (RBAC) en op kenmerken gebaseerd toegangsbeheer (ABAC).
Microsoft Entra-rollen en beveiligingsgroepen bieden op rollen gebaseerd toegangsbeheer van organisaties. Dynamische beveiligingsgroepen gebruiken kenmerken die zijn gedefinieerd voor gebruikers-, groep- en apparaatobjecten om lidmaatschap te definiëren, op basis van uitgebreide expressies en regelsets.
Op kenmerken gebaseerd toegangsbeheer van Microsoft Entra ID maakt gebruik van aangepaste beveiligingskenmerken. Dit zijn bedrijfsspecifieke kenmerken die u kunt definiëren en toewijzen aan Microsoft Entra-objecten. Met aangepaste beveiligingskenmerken worden gevoelige informatie opgeslagen. Toegang tot het weergeven of wijzigen van aangepaste beveiligingskenmerken is beperkt tot kenmerkbeheerdersrollen.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target
4.7.1 DAAS-toegang integreren met SDS-beleid Pt1Door gebruik te maken van het DoD Enterprise SDS-beleid, wordt het DAAS-beleid van de organisatie ontwikkeld met de beoogde integratie in gedachten. SdS-implementatiehandleiding is ontwikkeld door DoD-organisaties vanwege omgevingsspecifieke aard. Resultaten: - Op kenmerken gebaseerd GEDETAILLEERD DAAS-beleid wordt ontwikkeld met ondersteuning op ondernemingsniveau en ondersteuning op organisatieniveau - SDS-integratieplan is ontwikkeld ter ondersteuning van DAAS-beleid |
Microsoft Entra IDImplement attribute-based data, assets, applications, and services (DAAS) policies with Microsoft Entra ID with mechanisms like Azure attribute-based access control (Azure ABAC), custom security-attribute filtering for applications, and dynamic security security groups. - Op kenmerken gebaseerde besturingselementen aangepaste beveiligingskenmerken Definiëren aangepaste beveiligingskenmerken en wijs waarde toe aan gebruikers. Configureer voorwaarden voor roltoewijzing voor Azure ABAC voor Azure-rollen. Momenteel is deze functie in preview voor machtigingen voor Azure Storage-accounts. - Azure ABAC - : toegang tot aangepaste beveiligingskenmerken - Beheren kenmerken beheren met delegatie Aangepaste beveiligingskenmerken gebruiken voor fijnmazige dynamische toepassingsautorisatie. Wijs aangepaste beveiligingskenmerken toe en gebruik kenmerkfilters (preview) voor toepassingen in beleid voor voorwaardelijke toegang. - Aangepaste beveiligingskenmerken van apps beheren Dynamische beveiligingsgroepen Gebruik dynamische beveiligingsgroepen om toegang toe te wijzen aan resources die Ondersteuning bieden voor Microsoft Entra ID-groepen om machtigingen te verlenen. Dit omvat Microsoft 365-rollengroepen, app-rollen voor Microsoft Entra ID-toepassingen, Azure-rollen en toepassingstoewijzingen. Beleidsregels voor voorwaardelijke toegang maken gebruik van dynamische groepen en passen autorisatieniveaus toe voor gebruikers met verschillende kenmerkwaarden. - Dynamische regels voor groepslidmaatschap - verzenden claims uit voorwaarden |
Advanced
4.7.2 DAAS Access integreren w/ SDS Policy Pt2DoD-organisaties implementeren het DAAS-beleid op geautomatiseerde wijze. Resultaat: - Op kenmerken gebaseerd gedetailleerd DAAS-beleid geïmplementeerd op geautomatiseerde wijze |
Microsoft Graph API Automatiseer de configuratie van beleid voor voorwaardelijke toegang, aangepaste beveiligingskenmerken, dynamische beveiligingsgroepen en andere Functies van Microsoft Entra ID met behulp van de Microsoft Graph API. |
Advanced
4.7.3 DAAS-toegang integreren met SDS-beleid Pt3Nieuw geïmplementeerde SDS-technologie en/of functionaliteiten zijn geïntegreerd met het DAAS-beleid op risicobasis. Tijdens de implementatie moet een gefaseerde benadering worden genomen om de resultaten te meten en dienovereenkomstig aan te passen. Resultaten: - SDS is geïntegreerd met DAAS-beleidsfunctionaliteit : alle gegevens in alle toepassingen worden beveiligd met op kenmerken gebaseerd DAAS-beleid. |
Microsoft Defender voor Cloud-apps Integreer Microsoft Purview en Defender voor Cloud Apps. Maak bestandsbeleid om geautomatiseerde processen af te dwingen met behulp van cloudprovider-API's. - Information Protection-bestandsbeleid - integreren |
Target
4.7.4 Oplossing(en) en beleid integreren met Enterprise IDP Pt1DoD-organisaties ontwikkelen een integratieplan met behulp van het SDS-beleid en de technologie/functionaliteit met de IdP-oplossing (Enterprise Identity Provider). Resultaat: - Integratieplan tussen SDS en gezaghebbende id-provider is ontwikkeld ter ondersteuning van bestaande DAAS-toegang |
Microsoft Entra ID Microsoft 365-opslagservices zoals SharePoint Online en OneDrive voor Bedrijven zijn geïntegreerd met Microsoft Entra ID. Configureer Azure Storage-services voor integratie met Microsoft Entra ID voor op identiteit gebaseerde autorisatie van aanvragen voor Blob-, File-, Queue- en Table-services. - Microsoft Entra ID In de toepassingsgalerie integreert u meer SDS-oplossingen (Software Defined Storage) met Microsoft Entra ID. - Toepassingsgalerie |
Advanced
4.7.5 Oplossing(en) en beleid integreren met Enterprise IDP Pt2Nieuw geïmplementeerde SDS-technologie en/of functionaliteiten zijn geïntegreerd met de Enterprise Identity Provider (IdP) na het integratieplan. Identiteitskenmerken die vereist zijn om te voldoen aan ZT-doelfunctionaliteiten zijn vereist voor integratie. Resultaat: - Volledige integratie met Enterprise IDP- en SDS-hulpprogramma's ter ondersteuning van alle op kenmerken gebaseerde verfijnde DAAS-toegang |
Volledige activiteiten 4.7.1 en 4.7.4. |
Advanced
4.7.6 SdS Tool implementeren en/of integreren met DRM Tool Pt1Afhankelijk van de behoefte aan een hulpprogramma voor software-gedefinieerde opslag, wordt een nieuwe oplossing geïmplementeerd of wordt een bestaande oplossing geïdentificeerd die voldoet aan de functionaliteitsvereisten die moeten worden geïntegreerd met DLP-, DRM-/beveiliging- en ML-oplossingen. Resultaat: - Als hulpprogramma's nodig zijn, moet u ervoor zorgen dat er ondersteunde integraties zijn met DLP-, DRM- en ML-hulpprogramma's |
Microsoft Purview Microsoft Purview Informatiebeveiliging DRM-functies (Digital Rights Management) en Microsoft Purview-preventie van gegevensverlies (DLP) kunnen systeemeigen worden geïntegreerd met Office-clients en Microsoft 365-services. Integraties zijn ingebouwd en vereisen geen implementatie meer. - Purview-overzicht Gebruik de Microsoft Information Protection SDK (MIP SDK) om aangepaste hulpprogramma's te bouwen om labels en beveiliging toe te passen op bestanden. Zie de Richtlijnen van Microsoft in 4.4.2. |
Advanced
4.7.7 SdS Tool implementeren en/of integreren met DRM Tool Pt2DoD-organisaties configureren zo nodig de SDS-functionaliteit en/of oplossing die moet worden geïntegreerd met de onderliggende DLP- en DRM/Protection-infrastructuur. Integraties op lager niveau maken effectievere beveiliging en respons mogelijk. Resultaat: - SDS-infrastructuur integreren met bestaande DLP- en DRM-infrastructuur |
Microsoft 365 en Microsoft Purview Microsoft Purview beschermt Microsoft 365-inhoud met preventie van gegevensverlies (DLP) en DRM (Data Rights Management) zonder meer infrastructuur. - Gevoelige gegevens beveiligen |
Volgende stappen
Configureer Microsoft-cloudservices voor de DoD Zero Trust-strategie: